检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
iam-role-in-use 规则展示名 IAM权限使用中 规则描述 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles 规则参数 无 应用场景 避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。
储到日志流中。 修复项指导 云审计服务管理控制台支持对已创建的追踪器增加文件校验、加密事件文件、LTS转储等相关配置,详见配置追踪器。 检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。 若规则参数列表为空,账号中存在至少一个符合安
alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs
法不为“SOURCE_IP”时,视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight:后端云服务器的权重,请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大,分发的请求越多。
义参数外),则视为“不合规”。 标签 codeartsbuild 规则触发方式 配置变更 规则评估的资源类型 codeartsbuild.CloudBuildServer 规则参数 无 父主题: 部署 CodeArts Deploy
p 规则展示名 CDN回源方式使用HTTPS 规则描述 CDN回源方式未使用HTTPS协议,视为“不合规”。 标签 cdn 规则触发方式 配置变更 规则评估的资源类型 cdn.domains 规则参数 无 父主题: 内容分发网络 CDN
ecs-protected-by-cbr 规则展示名 ECS资源在备份存储库中 规则描述 ECS资源没有关联备份存储库,视为“不合规”。 标签 cbr、ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 无 父主题: 弹性云服务器 ECS
DCS Redis实例支持SSL 规则描述 DCS Redis资源可以公网访问,但不支持SSL时,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.redis 规则参数 无 父主题: 分布式缓存服务 DCS
规则展示名 DCS Redis实例需要密码访问 规则描述 DCS Redis资源不需要密码访问,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.redis 规则参数 无 父主题: 分布式缓存服务 DCS
规则展示名 IAM用户单访问密钥 规则描述 IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问
安全组入站流量限制SSH端口 规则描述 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 当安全组的入站流量未放通TCP 22端口的所有IPv4地址(0
规则展示名 私有证书管理服务算法检查 规则描述 私有证书管理服务使用了禁止的密钥算法或签名哈希算法,视为“不合规”。 标签 pca 规则触发方式 配置变更 规则评估的资源类型 pca.ca、pca.cert 规则参数 blockedKeyAlgorithm:禁止使用的密钥算法列表,数组类型,如
OBS桶中的数据的操作日志,例如上传、下载等。 修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知,详见配置追踪器。 检测逻辑 配置数据类追踪器追踪OBS桶时,只追踪“读操作”或“写操作”,也视为追踪该OBS桶。 账号
云硬盘创建后在指定天数内绑定资源实例 规则详情 表1 规则详情 参数 说明 规则名称 evs-use-in-specified-days 规则展示名 云硬盘创建后在指定天数内绑定资源实例 规则描述 云硬盘创建后在指定天数内未使用,视为“不合规”。 标签 evs 规则触发方式 周期触发
检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 父主题: 虚拟私有云 VPC
适用于内容分发网络(CDN)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS,视为“不合规”
函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规” function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置,视为“不合规” 父主题: 合规规则包示例模板
规则展示名 安全组非白名单端口检查 规则描述 除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 whiteListPorts:白名单端口列表。 检测逻辑 安全组
n-check 规则展示名 监听器资源HTTPS重定向检查 规则描述 检查HTTP监听器是否配置向HTTPS监听器的重定向,如果未配置,视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.listeners 规则参数 无 父主题: 弹性负载均衡 ELB
Memcached资源需要密码访问 规则描述 DCS Memcached资源不需要密码访问,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.memcached 规则参数 无 父主题: 分布式缓存服务 DCS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
